La búsqueda de amenazas o threat hunting es un enfoque alternativo a los sistemas de seguridad tradicionales como firewalls o NIDS que monitorizan el tráfico de red. Si bien estos últimos investigan las amenazas después de que ocurrieron, la estrategia de threat hunting implica buscar a través de redes, detectar y aislar amenazas, y erradicarlas incluso antes de que los sistemas de alerta tradicionales hayan generado una alerta.
Esto se puede lograr manualmente por un analista que intenta identificar fallos potenciales en la red y crear escenarios de "qué pasaría si" que se utilizan para contrarrestar esas debilidades de forma proactiva. Hoy, sin embargo, la caza de amenazas se está volviendo más automatizada, y el proceso aprovecha el análisis del comportamiento de las entidades y los usuarios para informar al analista de seguridad de cualquier riesgo potencial.
Hoy en día podemos decir que hay tres tipos de hipótesis que los analistas usan mientras buscan amenazas:
- Basada en análisis: Considera el análisis de comportamiento de las entidades y los usuarios (UEBA) y el aprendizaje automático para desarrollar puntuaciones de riesgo acumuladas y otras hipótesis
- Basada en inteligencia: Impulsado por informes de amenazas de inteligencia, feeds, análisis de malware y escaneos de vulnerabilidades
- Conciencia Situacional: Usa evaluaciones de riesgo de la empresa o análisis Crown Jewel, evaluando las tendencias de una empresa o individuo
En base a estas hipótesis podemos clasificar una serie de herramientas gratuitas que los analistas o en general aquellos que buscan amenazas pueden usar para mantenerse protegidos.
Basadas en análisis
Maltego CE
Esta es una herramienta de minería de datos que genera gráficos interactivos para el análisis las relaciones entre datos de varias fuentes de Internet. Maltego CE automatiza los procesos de diferentes recursos de consulta y muestra gráficos comprensibles. La personalización de esta aplicación es sencilla y puede adaptarse a requisitos específicos.
Cuckoo Sandbox
Cuckoo Sandbox es el líder en sistemas de análisis de malware automáticos de código abierto. Permite analizar cualquier archivo sospechoso y recibir resultados instantáneamente y detallados que describen lo que el archivo en cuestión hizo cuando se probó en un entorno aislado.
Automater
Automater de TekDefense puede analizar URLs y hashes para hacer que el análisis de una intrusión sea un proceso mucho más transparente. Simplemente selecciona un objetivo y Automater obtendrá resultados relevantes desde distintas fuentes populares. Se pueden modificar las fuentes que el sistema verifica y los datos que se obtienen de ellas. No es necesario modificar el código Python para usar esta aplicación y la interfaz es muy fácil de usar, incluso para un principiante.
Basadas en inteligencia
YARA
Esta herramienta multiplataforma ayuda a los usuarios a clasificar el malware y a crear descripciones de categorías de malware similares basadas en patrones binarios o textuales. Cada descripción se compone de una expresión booleana y un conjunto de cadenas y expresiones que determinan su identidad. YARA es multiplataforma y utiliza scripts de Python o su propia interfaz en línea de comandos. YARA a menudo es utilizado por software comercial para mejorar su rendimiento y habilidades.
CrowdFMS
Esta aplicación es un framework que recopila y procesa automáticamente muestras de VirusTotal aprovechando el API privada. CrowdFMS descarga muestras recientes y activa una alerta al feed de notificaciones YARA de los usuarios. Además, los usuarios pueden indicar un comando específico para ejecutar estas muestras de acuerdo con su ID de YARA.
BotScout
La herramienta BotScout ayuda a combatir a los "bots", impidiéndoles poder registrarse en foros que generan spam, abusar de servicios y servidores y "ensuciar" bases de datos. BotScout realiza un seguimiento de la dirección IP, el nombre y la dirección de correo electrónico para que el origen de los bots se neutralice. Esta poderosa pero simple API es utilizada por muchas compañías y universidades para mantener seguros sus activos online.
Machinae
Machinae se puede utilizar recopilando la inteligencia de sitios web públicos y alimentando datos relacionados con la seguridad, como nombres de dominio, direcciones URL, direcciones de correo electrónico y de IP, y más. Este software es gratuito y tiene una mejor compatibilidad que otros colectores del mercado. Su configuración también está bien optimizada y admite muchas entradas y salidas.
Basadas en la Conciencia Situacional
AIEngine
AIEngine es una herramienta interactiva que revoluciona el sistema de detección de intrusiones de red, capaz de aprender sin interacción humana. Es programable e incluye funciones como forense de red, recolección de red y detección de spam. La herramienta ayuda a comprender mejor el tráfico y a crear firmas para usar en firewalls y otro software de protección. Es compatible con muchos sistemas y complementos que resultarían útiles para un threat hunter.
YETI
YETI admite el agrupamiento, el descubrimiento y el servicio de inbox definidos por TAXII (Trusted Automated eXchange of Indicator Information), un conjunto de intercambios de mensajes y servicios que permiten que los detalles de la amenaza se compartan sin problemas entre líneas de productos, servicios y organizaciones. Fue escrito para Python 2.7 y aprovecha Django 1.7 para el framework web. Esta aplicación ayuda a los desarrolladores a probar aplicaciones TAXII y a sentirse más cómodos con la plataforma TAXII.
Conclusión
Todas las herramientas anteriores tienen sus propias aplicaciones, y muchas pueden combinarse para formar una defensa integral contra los ciberataques sin derrochar mucho dinero. La caza de amenazas es una batalla entre el personal de seguridad de TI y los atacantes, y tener muchas herramientas ofrece mejores probabilidades para ganar la batalla...
Fuentes:
Esto se puede lograr manualmente por un analista que intenta identificar fallos potenciales en la red y crear escenarios de "qué pasaría si" que se utilizan para contrarrestar esas debilidades de forma proactiva. Hoy, sin embargo, la caza de amenazas se está volviendo más automatizada, y el proceso aprovecha el análisis del comportamiento de las entidades y los usuarios para informar al analista de seguridad de cualquier riesgo potencial.
Hoy en día podemos decir que hay tres tipos de hipótesis que los analistas usan mientras buscan amenazas:
- Basada en análisis: Considera el análisis de comportamiento de las entidades y los usuarios (UEBA) y el aprendizaje automático para desarrollar puntuaciones de riesgo acumuladas y otras hipótesis
- Basada en inteligencia: Impulsado por informes de amenazas de inteligencia, feeds, análisis de malware y escaneos de vulnerabilidades
- Conciencia Situacional: Usa evaluaciones de riesgo de la empresa o análisis Crown Jewel, evaluando las tendencias de una empresa o individuo
En base a estas hipótesis podemos clasificar una serie de herramientas gratuitas que los analistas o en general aquellos que buscan amenazas pueden usar para mantenerse protegidos.
Basadas en análisis
Maltego CE
Esta es una herramienta de minería de datos que genera gráficos interactivos para el análisis las relaciones entre datos de varias fuentes de Internet. Maltego CE automatiza los procesos de diferentes recursos de consulta y muestra gráficos comprensibles. La personalización de esta aplicación es sencilla y puede adaptarse a requisitos específicos.
Cuckoo Sandbox
Cuckoo Sandbox es el líder en sistemas de análisis de malware automáticos de código abierto. Permite analizar cualquier archivo sospechoso y recibir resultados instantáneamente y detallados que describen lo que el archivo en cuestión hizo cuando se probó en un entorno aislado.
Automater
Automater de TekDefense puede analizar URLs y hashes para hacer que el análisis de una intrusión sea un proceso mucho más transparente. Simplemente selecciona un objetivo y Automater obtendrá resultados relevantes desde distintas fuentes populares. Se pueden modificar las fuentes que el sistema verifica y los datos que se obtienen de ellas. No es necesario modificar el código Python para usar esta aplicación y la interfaz es muy fácil de usar, incluso para un principiante.
Basadas en inteligencia
YARA
Esta herramienta multiplataforma ayuda a los usuarios a clasificar el malware y a crear descripciones de categorías de malware similares basadas en patrones binarios o textuales. Cada descripción se compone de una expresión booleana y un conjunto de cadenas y expresiones que determinan su identidad. YARA es multiplataforma y utiliza scripts de Python o su propia interfaz en línea de comandos. YARA a menudo es utilizado por software comercial para mejorar su rendimiento y habilidades.
CrowdFMS
Esta aplicación es un framework que recopila y procesa automáticamente muestras de VirusTotal aprovechando el API privada. CrowdFMS descarga muestras recientes y activa una alerta al feed de notificaciones YARA de los usuarios. Además, los usuarios pueden indicar un comando específico para ejecutar estas muestras de acuerdo con su ID de YARA.
BotScout
La herramienta BotScout ayuda a combatir a los "bots", impidiéndoles poder registrarse en foros que generan spam, abusar de servicios y servidores y "ensuciar" bases de datos. BotScout realiza un seguimiento de la dirección IP, el nombre y la dirección de correo electrónico para que el origen de los bots se neutralice. Esta poderosa pero simple API es utilizada por muchas compañías y universidades para mantener seguros sus activos online.
Machinae
Machinae se puede utilizar recopilando la inteligencia de sitios web públicos y alimentando datos relacionados con la seguridad, como nombres de dominio, direcciones URL, direcciones de correo electrónico y de IP, y más. Este software es gratuito y tiene una mejor compatibilidad que otros colectores del mercado. Su configuración también está bien optimizada y admite muchas entradas y salidas.
Basadas en la Conciencia Situacional
AIEngine
AIEngine es una herramienta interactiva que revoluciona el sistema de detección de intrusiones de red, capaz de aprender sin interacción humana. Es programable e incluye funciones como forense de red, recolección de red y detección de spam. La herramienta ayuda a comprender mejor el tráfico y a crear firmas para usar en firewalls y otro software de protección. Es compatible con muchos sistemas y complementos que resultarían útiles para un threat hunter.
YETI
YETI admite el agrupamiento, el descubrimiento y el servicio de inbox definidos por TAXII (Trusted Automated eXchange of Indicator Information), un conjunto de intercambios de mensajes y servicios que permiten que los detalles de la amenaza se compartan sin problemas entre líneas de productos, servicios y organizaciones. Fue escrito para Python 2.7 y aprovecha Django 1.7 para el framework web. Esta aplicación ayuda a los desarrolladores a probar aplicaciones TAXII y a sentirse más cómodos con la plataforma TAXII.
Conclusión
Todas las herramientas anteriores tienen sus propias aplicaciones, y muchas pueden combinarse para formar una defensa integral contra los ciberataques sin derrochar mucho dinero. La caza de amenazas es una batalla entre el personal de seguridad de TI y los atacantes, y tener muchas herramientas ofrece mejores probabilidades para ganar la batalla...
Fuentes:
Comentarios
Publicar un comentario